Monitor 2.0 – IT-Sicherheit Kritischer Infrastrukturen : Kernaussagen einer Umfrage des Förderschwerpunkts „IT-Sicherheit für Kritische Infrastrukturen“

Von Ulrike Lechner, Manfred Hofmeier und Steffi Rudel, Neubiberg

Der „Monitor 2.0 – IT-Sicherheit Kritischer Infrastrukturen“ (ITS|KRITIS Monitor 2.0) führt die Analysen zur IT-Sicherheit fort, die 2016 mit der ersten Monitor-Umfrage (Monitor 1.0) begonnen wurden. Die Studie wurde durch das Projekt „Vernetzte IT-Sicherheit Kritischer Infrastrukturen“ (VeSiKi) durchgeführt, die Teil des Förderschwerpunkts „IT-Sicherheit für Kritische Infrastrukturen“ (ITS|KRITIS) ist, der vom Bundesministerium für Bildung und Forschung (BMBF) gefördert wird.

Für den Monitor 2.0 wurden von Oktober 2017 bis Januar 2018 IT-Sicherheitsverantwortliche in Deutschland zu wichtigen Themen der IT-Sicherheit befragt. Dieses Mal haben 69 Teilnehmer über einen Onlinefragebogen an der Erhebung mitgewirkt.

Angriffsvektoren

Die Bedrohung ist noch immer hoch: Mehr als die Hälfte der befragten Organisationen waren im letzten Jahr Ziel von Cyber-Attacken. Mit nur 50,5 % ist diese Zahl jedoch verglichen mit dem Monitor 1.0 und anderen aktuellen Studien verhältnismäßig niedrig. 17 % der befragten Organisationen zählten dabei mehr als 100 gezielte Cyber-Attacken – im Vergleich zur Vorgängerstudie Monitor 1.0 ist dieser Anteil der Befragten leicht gestiegen. Der Anteil von Befragten, die keine gezielten Cyberangriffe feststellen konnten, ist indessen deutlich gesunken. Mehr als 42 % der Teilnehmer hatten zudem tatsächlich einen Service- oder Produktionsausfall zu verzeichnen.

Als häufigste Angriffsvektoren haben die IT-Sicherheitsverantwortlichen Phishing und Ransomware genannt (Abb. 1). In diesen Kategorien ist der Wert auch im Vergleich zum Monitor 1.0 stark angestiegen, was sowohl auf eine zunehmende Nutzung dieser Angriffsvektoren als auch auf eine gestiegene Sensibilität gegenüber diesen Vektoren zurückgeführt werden kann.

Als eine Ursache für den Erfolg von Cyber-Attacken sieht fast Hälfte der befragten Organisationen ein Fehlverhalten von Mitarbeitern an. Dabei sensibilisiert ein großer Anteil der Organisationen ihre Mitarbeiter für das Thema IT-Sicherheit (80,6 %). Partner und externe Mitarbeiter werden jedoch nur selten (16,1 %) durch diese Maßnahmen adressiert.

Lagebeurteilung

Die Umfrageteilnehmer wurden gebeten, die derzeitige Bedrohungslage im Bereich der IT-Sicherheit einzuschätzen – differenziert für den Wirtschaftsraum Deutschland, die eigene Branche und für die eigene Organisation. Die überwältigende Mehrheit beurteilte die Bedrohungslage als „hoch“ oder „sehr hoch“ (vgl. Abb. 2). Die Bedrohungslage wird dabei für die eigene Organisation als geringer wahrgenommen als für die Branche – und diese wiederum als weniger bedroht als der gesamte Wirtschaftsraum Deutschland.

Genau umgekehrt verhalten sich die Einschätzungen zur Verteidigung: In der Fähigkeit zur Abwehr von Cyber-Attacken sehen 70 % aller Teilnehmer nur „geringe“ oder „sehr geringe“ Fähigkeiten im Wirtschaftsraum Deutschland. Die eigene Fähigkeit, Cyber-Angriffe abzuwehren, wird durchweg als höher eingeschätzt als die der eigenen Branche – und diese wiederum höher als die des Wirtschaftsraums Deutschland.

Betreiber schätzen also ihre Bedrohungssituation sowie ihre eigenen Fähigkeiten, Cyberangriffe erfolgreich abzuwehren, optimistischer ein als die Situation für die eigene Branche oder den Wirtschaftsraum Deutschland. Dieser Effekt war schon in der ersten Monitor-Umfrage sichtbar und ist nun erneut festzustellen.

Spezifische Bedrohungen

Um den Effekt von spezifischen Bedrohungen auf IT-Sicherheitsmaßnahmen zu untersuchen, wurde nach den vier Bedrohungen gefragt, die zum Start der Umfrage im Herbst 2017 die meiste Aufmerksamkeit in der Öffentlichkeit erzeugt hatten: WannaCry, das Mirai-Botnetz, Industroyer und Petya beziehungsweise NotPetya. Aus den Antworten der Umfrageteilnehmer (Abb. 3) lässt sich erkennen, dass verhältnismäßig selten neue Maßnahmen (7–18 %), aber auch selten gar keine Maßnahmen ergriffen wurden (13–30 %). In den meisten Fällen wurden die bestehenden Maßnahmen überprüft oder passende Maßnahmen waren bereits im Vorfeld getroffen worden, weil man mit der Bedrohung bereits gerechnet hatte.

Aber nicht nur medial präsente Ereignisse haben Einfluss auf die IT-Sicherheitsmaßnahmen in den Organisationen, sondern auch gesetzliche Regelungen, Ergebnisse von Risikoanalysen, Angriffe auf andere Organisationen und Hinweise aus anderen Organisationen spielen eine bedeutende Rolle. „Gesetzliche Regelungen“ und „Informationen über Angriffe auf andere Organisationen“ sind dabei die Arten von Informationen, welche die meiste Relevanz aufweisen.

Ebenso vielfältig wie die Einflussfaktoren ist die Bandbreite an Informationsquellen, die für die IT-Sicherheit in den befragten Organisationen als relevant angesehen wurden. Dazu gehören Informationen aus der Branche, von Behörden (z. B. BSI oder LKA), aus persönlichen Kontakten, von IT-Sicherheitsdienstleistern sowie Informationen aus Webportalen: Informationen aus Nachrichtenportalen zur IT-Sicherheit haben 95 % der Befragten als relevant angesehen. Noch wichtiger für die IT-Sicherheit der eigenen Organisation sind jedoch Informationen aus der eigenen Branche und von persönlichen Kontakten.

Fazit

Bei der Betrachtung der verfügbaren Ressourcen fällt auf, dass das Budget für die IT-Sicherheit in Relation zum gesamten IT-Budget der Organisationen in der Regel weniger als 10 %, in den meisten Fällen sogar weniger als 5 % beträgt. 60 % der Befragten halten ihr Budget für unzureichend.

Die Meldepflicht gemäß dem IT-Sicherheitsgesetz wurde bereits von mehr als 70 % der befragten KRITIS-Organisationen implementiert. Interessant ist, wie unterschiedlich diese Meldepflicht umgesetzt wird: Häufig wird sie durch Benennung eines IT-Sicherheitsbeauftragten delegiert – andernorts wickelt man die Meldepflicht über den Helpdesk oder ein Ticketing-System ab. Und wieder andere Organisationen richten neue Managementprozesse ein oder entwickeln sogar selbst Werkzeuge mit Meldefunktion.

Abschließend kommt die Umfrage zu dem Schluss, dass ein Bedarf für mehr Aktivität in Gesetzgebung und Forschung besteht, wenn es um die IT-Sicherheit im KRITIS-Umfeld, aber auch bei anderen Organisationen oder um die digitale Souveränität Deutschlands geht. Das unterstreicht die Bedeutung der Erforschung der IT-Sicherheit gerade bei kritischen Infrastrukturen auch in der Zukunft.

Die vollständigen Ergebnisse der Umfrage ITS|KRITIS Monitor 2.0 sowie der Vorgängerstudie Monitor 1.0 stehen auf https://monitor.itskritis.de kostenfrei zum Download zur Verfügung. Für Rückfragen steht das Team von VeSiKi gerne per E-Mail unter info@vesiki.de zur Verfügung.

Prof. Dr. Ulrike Lechner ist Leiterin des Forschungsprojekts „Vernetzte IT-Sicherheit Kritischer Infrastrukturen“ (VeSiKi) und Professorin an der Universität der Bundeswehr München. Manfred Hofmeier und Dr. Steffi Rudel sind wissenschaftliche Mitarbeiter im Projekt VeSiKi.